Если это действительно большая проблема для вас, вы можете сделать какую-то защиту на основе UUID с помощью пользовательского агента и других переменных, отправленных клиентом.
Я видел недавний POC (не могу вспомнить адрес), говоря, что с помощью определения браузера javascript и переменных, отправленных пользователем php, вы можете создать UUID для идентификации ваших пользователей.
РЕДАКТИРОВАТЬ: Нашел, скрипт называется Panopticlick , он делает идентификацию пользователя по отпечаткам пальцев на основе доступных плагинов, доступных шрифтов, агента пользователя, часового пояса и экрана. размер. Из их высказываний:
отпечаток вашего браузера
уникальный среди 777 809 протестированных так
далеко.
В настоящее время, по нашим оценкам, ваш
браузер имеет отпечаток пальца, который передает
не менее 19,57 бит идентификации
информация.
Конечно, это не совсем безопасно, поскольку пользователь может легко подделать эту информацию, но вы можете использовать ее для создания серого списка, так что если пользователь совпадает с UUID вашего заблокированного ip, вы предоставляете ему логин экран, или капчу, или любой другой вид дополнительной безопасности, который вам нужен.